本發(fā)明涉及網(wǎng)絡(luò)安全，具體涉及一種基于應(yīng)用程序接口的惡意流量識(shí)別與定位系統(tǒng)及方法。

背景技術(shù)：

1、在當(dāng)今數(shù)字化時(shí)代，網(wǎng)絡(luò)安全面臨著嚴(yán)峻挑戰(zhàn)。惡意流量的存在可能導(dǎo)致網(wǎng)絡(luò)擁塞、數(shù)據(jù)泄露、系統(tǒng)癱瘓等嚴(yán)重后果。傳統(tǒng)的惡意流量檢測(cè)方法往往缺乏對(duì)應(yīng)用程序接口（api）相關(guān)流量的針對(duì)性分析，難以準(zhǔn)確識(shí)別和定位惡意流量的來(lái)源。隨著?api?的廣泛應(yīng)用，針對(duì)?api?的惡意攻擊也日益增多，因此，開(kāi)發(fā)一種有效的基于?api?的惡意流量識(shí)別與定位方法具有重要的現(xiàn)實(shí)意義。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于提供一種基于應(yīng)用程序接口的惡意流量識(shí)別與定位系統(tǒng)及方法，以解決現(xiàn)有技術(shù)中惡意流量識(shí)別不準(zhǔn)確、定位困難的問(wèn)題。

2、本發(fā)明提供一種接口安全防護(hù)的分析方法，包括以下步驟：

3、步驟1、接口流量數(shù)據(jù)采集與預(yù)處理，通過(guò)網(wǎng)絡(luò)監(jiān)測(cè)設(shè)備實(shí)時(shí)采集接口流量數(shù)據(jù)，對(duì)采集到的接口流量數(shù)據(jù)進(jìn)行預(yù)處理，包括數(shù)據(jù)清洗、格式轉(zhuǎn)換等操作，以去除噪聲和無(wú)效數(shù)據(jù)，提高數(shù)據(jù)質(zhì)量；

4、步驟2、接口流量數(shù)據(jù)特征提取，利用深度接口測(cè)試技術(shù)識(shí)別接口流量數(shù)據(jù)中的接口調(diào)用并提取接口流量數(shù)據(jù)特征，所述接口流量數(shù)據(jù)特征包括接口名稱(chēng)、參數(shù)、請(qǐng)求頻率、響應(yīng)時(shí)間、信號(hào)長(zhǎng)度、流量平均值、流量峰值、波動(dòng)因子、連接時(shí)長(zhǎng)、連接字節(jié)等參數(shù)信息；

5、根據(jù)多個(gè)接口流量數(shù)據(jù)的樣本數(shù)量和特征維度建立接口流量數(shù)據(jù)特征矩陣，并通過(guò)以下公式表示：

6、

7、其中，表示多個(gè)接口流量數(shù)據(jù)的樣本數(shù)量，表示接口流量數(shù)據(jù)特征維度；

8、對(duì)所述接口流量數(shù)據(jù)特征矩陣的接口流量特征變量進(jìn)行特征重組，并構(gòu)建新的接口流量特征變量集；

9、在所述構(gòu)建新的接口流量特征變量集的過(guò)程中，首先構(gòu)建新的接口流量特征變量集中的關(guān)鍵因素集，在該過(guò)程中首先確定所述關(guān)鍵因素集的貢獻(xiàn)度，具體地，通過(guò)接口流量數(shù)據(jù)特征矩陣以及所述接口流量數(shù)據(jù)特征矩陣的相關(guān)系數(shù)矩陣確定所述關(guān)鍵因素集，具體通過(guò)以下公式表示：

10、

11、其中，表示關(guān)鍵因素集中第個(gè)關(guān)鍵因素，表示所述接口流量數(shù)據(jù)特征矩陣的相關(guān)系數(shù)矩陣中的系數(shù)特征向量；

12、在所述確定所述關(guān)鍵因素集的貢獻(xiàn)度的過(guò)程中，通過(guò)以下公式計(jì)算關(guān)鍵因素集中第個(gè)關(guān)鍵因素的貢獻(xiàn)度：

13、

14、其中，表示時(shí)對(duì)應(yīng)的特征值，表示關(guān)鍵因素的貢獻(xiàn)度，表示單位矩陣，表示所述接口流量數(shù)據(jù)特征矩陣；

15、在得到關(guān)鍵因素集中關(guān)鍵因素的貢獻(xiàn)度后，按照從大到小的順序進(jìn)一步計(jì)算前l(fā)個(gè)關(guān)鍵因素的貢獻(xiàn)度之和，即通過(guò)以下公式得到所述前l(fā)個(gè)關(guān)鍵因素的貢獻(xiàn)度之和：

16、

17、

18、在確定所述前l(fā)個(gè)關(guān)鍵因素的貢獻(xiàn)度之和大于等于預(yù)設(shè)貢獻(xiàn)度之和的閾值t時(shí)，即確定所述l的最終數(shù)量，并通過(guò)以下公式進(jìn)一步篩選和確定新的接口流量特征變量集；

19、其中，表示在確定第l個(gè)關(guān)鍵因素的貢獻(xiàn)度后，通過(guò)篩選函數(shù)確定的關(guān)鍵因素集，并確定新的接口流量特征變量集，表示篩選條件，通過(guò)上述過(guò)程確定新的接口流量特征變量集；

20、步驟3、接口流量數(shù)據(jù)識(shí)別，通過(guò)預(yù)先訓(xùn)練得到的接口流量數(shù)據(jù)分析模型對(duì)所述新的接口流量特征變量集進(jìn)行特征識(shí)別，并對(duì)所述接口流量數(shù)據(jù)進(jìn)行分類(lèi)；

21、步驟4、接口異常流量數(shù)據(jù)定位，當(dāng)所述接口流量數(shù)據(jù)類(lèi)型異常時(shí)，對(duì)于異常的接口調(diào)用，通過(guò)分析網(wǎng)絡(luò)流量的流向確定接口異常流量數(shù)據(jù)的來(lái)源和傳播路徑；利用接口異常流量數(shù)據(jù)模型確定所述接口異常流量數(shù)據(jù)在網(wǎng)絡(luò)中的具體接口位置；

22、步驟5、預(yù)警與響應(yīng)，當(dāng)識(shí)別到異常接口及其位置信息時(shí)，及時(shí)發(fā)出預(yù)警信息，通知網(wǎng)絡(luò)管理員，根據(jù)接口的異常類(lèi)型和嚴(yán)重程度，采取預(yù)設(shè)的響應(yīng)措施，阻斷惡意流量、隔離受感染設(shè)備。

23、具體地，在所述步驟3中，在確定新的接口流量特征變量集后，通過(guò)接口流量數(shù)據(jù)分析模型進(jìn)行特征匹配，得到接口流量數(shù)據(jù)類(lèi)型的匹配概率，在這一過(guò)程中，通過(guò)以下公式進(jìn)行特征匹配，即

24、

25、其中，表示預(yù)先存儲(chǔ)的接口流量數(shù)據(jù)的類(lèi)型特征向量，表示預(yù)先存儲(chǔ)的接口流量數(shù)據(jù)的數(shù)量中的任意一個(gè)數(shù)值，表示平滑因子；

26、通過(guò)下述公式計(jì)算特征匹配后接口流量數(shù)據(jù)類(lèi)型的匹配概率，即

27、

28、其中，表示接口流量數(shù)據(jù)類(lèi)型的概率，表示預(yù)先存儲(chǔ)的接口流量數(shù)據(jù)類(lèi)型的維度，表示平滑因子；

29、通過(guò)概率密度函數(shù)判定最終的接口流量數(shù)據(jù)類(lèi)型，即；以此得到接口流量數(shù)據(jù)類(lèi)型是否屬于異常。

30、具體地，在步驟4中，通過(guò)分析網(wǎng)絡(luò)流量的流向確定接口異常流量數(shù)據(jù)的來(lái)源和傳播路徑的過(guò)程中需要確定異常的接口調(diào)用的具體位置，在該過(guò)程中，初始異常接口向相鄰接口進(jìn)行不同次數(shù)的數(shù)據(jù)轉(zhuǎn)移和傳輸，計(jì)算異常接口到其它轉(zhuǎn)移接口的平均轉(zhuǎn)移距離：

31、

32、其中，和表示任意兩個(gè)轉(zhuǎn)移接口、的坐標(biāo)，表示任意兩個(gè)轉(zhuǎn)移接口、的平均轉(zhuǎn)移距離，表示、接口之間的最小轉(zhuǎn)移次數(shù)；

33、異常接口在得到平均轉(zhuǎn)移距離之后，會(huì)向外傳輸所述平均轉(zhuǎn)移距離的信息，而被接收到的信息只會(huì)保存在最初的轉(zhuǎn)移距離中，因此，異常接口的其它轉(zhuǎn)移接口收到平均轉(zhuǎn)移距離之和乘以與之相連的異常接口的最小轉(zhuǎn)移次數(shù)，即異常接口和其它轉(zhuǎn)移接口的實(shí)際距離，并根據(jù)異常接口與已知其它轉(zhuǎn)移接口之間的轉(zhuǎn)移關(guān)系以及異常接口和其它轉(zhuǎn)移接口的實(shí)際距離在軸和軸上的分量得出異常接口的坐標(biāo)。

34、具體地，在步驟4中，結(jié)合接口流量數(shù)據(jù)的采集頻率，重復(fù)上述定位流程，完成接口安全防護(hù)的分析。

35、本發(fā)明還提供一種接口安全防護(hù)的分析裝置，該裝置包括以下模塊：

36、接口流量數(shù)據(jù)采集與預(yù)處理模塊，用于通過(guò)網(wǎng)絡(luò)監(jiān)測(cè)設(shè)備實(shí)時(shí)采集接口流量數(shù)據(jù)，對(duì)采集到的接口流量數(shù)據(jù)進(jìn)行預(yù)處理，包括數(shù)據(jù)清洗、格式轉(zhuǎn)換等操作，以去除噪聲和無(wú)效數(shù)據(jù)，提高數(shù)據(jù)質(zhì)量；

37、接口流量數(shù)據(jù)特征提取模塊，用于利用深度接口測(cè)試技術(shù)識(shí)別接口流量數(shù)據(jù)中的接口調(diào)用并提取接口流量數(shù)據(jù)特征，所述接口流量數(shù)據(jù)特征包括接口名稱(chēng)、參數(shù)、請(qǐng)求頻率、響應(yīng)時(shí)間、信號(hào)長(zhǎng)度、流量平均值、流量峰值、波動(dòng)因子、連接時(shí)長(zhǎng)、連接字節(jié)等參數(shù)信息；

38、根據(jù)多個(gè)接口流量數(shù)據(jù)的樣本數(shù)量和特征維度建立接口流量數(shù)據(jù)特征矩陣，并通過(guò)以下公式表示：

39、

40、其中，表示多個(gè)接口流量數(shù)據(jù)的樣本數(shù)量，表示接口流量數(shù)據(jù)特征維度；

41、對(duì)所述接口流量數(shù)據(jù)特征矩陣的接口流量特征變量進(jìn)行特征重組，并構(gòu)建新的接口流量特征變量集；

42、在所述構(gòu)建新的接口流量特征變量集的過(guò)程中，首先構(gòu)建新的接口流量特征變量集中的關(guān)鍵因素集，在該過(guò)程中首先確定所述關(guān)鍵因素集的貢獻(xiàn)度，具體地，通過(guò)接口流量數(shù)據(jù)特征矩陣以及所述接口流量數(shù)據(jù)特征矩陣的相關(guān)系數(shù)矩陣確定所述關(guān)鍵因素集，具體通過(guò)以下公式表示：

43、

44、其中，表示關(guān)鍵因素集中第個(gè)關(guān)鍵因素，表示所述接口流量數(shù)據(jù)特征矩陣的相關(guān)系數(shù)矩陣中的系數(shù)特征向量；

45、在所述確定所述關(guān)鍵因素集的貢獻(xiàn)度的過(guò)程中，通過(guò)以下公式計(jì)算關(guān)鍵因素集中第個(gè)關(guān)鍵因素的貢獻(xiàn)度：

46、

47、其中，表示時(shí)對(duì)應(yīng)的特征值，表示關(guān)鍵因素的貢獻(xiàn)度，表示單位矩陣，表示所述接口流量數(shù)據(jù)特征矩陣；

48、在得到關(guān)鍵因素集中關(guān)鍵因素的貢獻(xiàn)度后，按照從大到小的順序進(jìn)一步計(jì)算前l(fā)個(gè)關(guān)鍵因素的貢獻(xiàn)度之和，即通過(guò)以下公式得到所述前l(fā)個(gè)關(guān)鍵因素的貢獻(xiàn)度之和：

49、

50、

51、在確定所述前l(fā)個(gè)關(guān)鍵因素的貢獻(xiàn)度之和大于等于預(yù)設(shè)貢獻(xiàn)度之和的閾值t時(shí)，即確定所述l的最終數(shù)量，并通過(guò)以下公式進(jìn)一步篩選和確定新的接口流量特征變量集；

52、其中，表示在確定第l個(gè)關(guān)鍵因素的貢獻(xiàn)度后，通過(guò)篩選函數(shù)確定的關(guān)鍵因素集，并確定新的接口流量特征變量集，表示篩選條件，通過(guò)上述過(guò)程確定新的接口流量特征變量集；

53、接口流量數(shù)據(jù)識(shí)別模塊，用于通過(guò)預(yù)先訓(xùn)練得到的接口流量數(shù)據(jù)分析模型對(duì)所述新的接口流量特征變量集進(jìn)行特征識(shí)別，并對(duì)所述接口流量數(shù)據(jù)進(jìn)行分類(lèi)；

54、接口異常流量數(shù)據(jù)定位模塊，用于當(dāng)所述接口流量數(shù)據(jù)類(lèi)型異常時(shí)，對(duì)于異常的接口調(diào)用，通過(guò)分析網(wǎng)絡(luò)流量的流向確定接口異常流量數(shù)據(jù)的來(lái)源和傳播路徑；利用接口異常流量數(shù)據(jù)模型確定所述接口異常流量數(shù)據(jù)在網(wǎng)絡(luò)中的具體接口位置；

55、預(yù)警與響應(yīng)模塊，用于當(dāng)識(shí)別到異常接口及其位置信息時(shí)，及時(shí)發(fā)出預(yù)警信息，通知網(wǎng)絡(luò)管理員，根據(jù)接口的異常類(lèi)型和嚴(yán)重程度，采取預(yù)設(shè)的響應(yīng)措施，阻斷惡意流量、隔離受感染設(shè)備。

56、具體地，在接口流量數(shù)據(jù)識(shí)別模塊中，在確定新的接口流量特征變量集后，通過(guò)接口流量數(shù)據(jù)分析模型進(jìn)行特征匹配，得到接口流量數(shù)據(jù)類(lèi)型的匹配概率，在這一過(guò)程中，通過(guò)以下公式進(jìn)行特征匹配，即

57、

58、其中，表示預(yù)先存儲(chǔ)的接口流量數(shù)據(jù)的類(lèi)型特征向量，表示預(yù)先存儲(chǔ)的接口流量數(shù)據(jù)的數(shù)量中的任意一個(gè)數(shù)值，表示平滑因子；

59、通過(guò)下述公式計(jì)算特征匹配后接口流量數(shù)據(jù)類(lèi)型的匹配概率，即

60、

61、其中，表示接口流量數(shù)據(jù)類(lèi)型的概率，表示預(yù)先存儲(chǔ)的接口流量數(shù)據(jù)類(lèi)型的維度，表示平滑因子；

62、通過(guò)概率密度函數(shù)判定最終的接口流量數(shù)據(jù)類(lèi)型，即；以此得到接口流量數(shù)據(jù)類(lèi)型是否屬于異常。

63、具體地，在接口異常流量數(shù)據(jù)定位模塊中，通過(guò)分析網(wǎng)絡(luò)流量的流向確定接口異常流量數(shù)據(jù)的來(lái)源和傳播路徑的過(guò)程中需要確定異常的接口調(diào)用的具體位置，在該過(guò)程中，初始異常接口向相鄰接口進(jìn)行不同次數(shù)的數(shù)據(jù)轉(zhuǎn)移和傳輸，計(jì)算異常接口到其它轉(zhuǎn)移接口的平均轉(zhuǎn)移距離：

64、

65、其中，和表示任意兩個(gè)轉(zhuǎn)移接口、的坐標(biāo)，表示任意兩個(gè)轉(zhuǎn)移接口、的平均轉(zhuǎn)移距離，表示、接口之間的最小轉(zhuǎn)移次數(shù)；

66、異常接口在得到平均轉(zhuǎn)移距離之后，會(huì)向外傳輸所述平均轉(zhuǎn)移距離的信息，而被接收到的信息只會(huì)保存在最初的轉(zhuǎn)移距離中，因此，異常接口的其它轉(zhuǎn)移接口收到平均轉(zhuǎn)移距離之和乘以與之相連的異常接口的最小轉(zhuǎn)移次數(shù)，即異常接口和其它轉(zhuǎn)移接口的實(shí)際距離，并根據(jù)異常接口與已知其它轉(zhuǎn)移接口之間的轉(zhuǎn)移關(guān)系以及異常接口和其它轉(zhuǎn)移接口的實(shí)際距離在軸和軸上的分量得出異常接口的坐標(biāo)。

67、具體地，在接口異常流量數(shù)據(jù)定位模塊中，結(jié)合接口流量數(shù)據(jù)的采集頻率，重復(fù)上述定位流程，完成接口安全防護(hù)的分析。

68、本發(fā)明還提供一種設(shè)備，所述設(shè)備包括處理器以及存儲(chǔ)器：所述存儲(chǔ)器用于存儲(chǔ)程序代碼，并將所述程序代碼傳輸給所述處理器，所述處理器用于根據(jù)所述程序代碼中的指令執(zhí)行上述所述的一種接口安全防護(hù)的分析方法。

69、本發(fā)明還提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)用于存儲(chǔ)程序代碼，并將所述程序代碼傳輸給處理器，所述處理器用于根據(jù)所述程序代碼中的指令執(zhí)行上述所述的一種接口安全防護(hù)的分析方法。

70、通過(guò)本發(fā)明可以提高惡意流量識(shí)別準(zhǔn)確率，進(jìn)一步地，通過(guò)對(duì)?api?調(diào)用的特征提取和與惡意流量特征庫(kù)的對(duì)比，能夠更準(zhǔn)確地識(shí)別惡意流量。實(shí)現(xiàn)惡意流量的精確定位：同時(shí)，本發(fā)明利用網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和流量分析工具，能夠快速定位惡意流量在網(wǎng)絡(luò)中的具體位置，為及時(shí)采取應(yīng)對(duì)措施提供有力支持，此外，本發(fā)明增強(qiáng)了網(wǎng)絡(luò)安全性：及時(shí)發(fā)現(xiàn)和定位惡意流量，能夠有效防止惡意攻擊對(duì)網(wǎng)絡(luò)造成的損害，提高網(wǎng)絡(luò)的安全性，最后，本發(fā)明的適應(yīng)性強(qiáng)，能夠適應(yīng)不同的網(wǎng)絡(luò)環(huán)境和應(yīng)用場(chǎng)景，具有較強(qiáng)的通用性和擴(kuò)展性。